Auf der CloudNativeCon im vergangenen Jahr hatte der Open Policy Agent (OPA) einen kleinen Hype ausgelöst, nun hat die Cloud Native Computing Foundation (CNCF) OPA zum ausgereiften Open-Source-Projekt aufgewertet. Die Graduierung begründet die CNCF mit der weitreichenden Akzeptanz, die die Policy-Engine in der Community erfährt, mit einem transparenten Steuerungsmechanismus, mit dem Reifegrad der Features und einem starken Bekenntnis zum Community-Gedanken, zur Nachhaltigkeit und Inklusion.

OPA habe eine Reihe von Sicherheitsprüfungen durchlaufen, Schwachstellen behandelt und Governance-Regeln zur weiteren Projektsteuerung formuliert, heißt es weiter in einer Mitteilung der CNCF. OPA bekenne sich zum "Code of Conduct" der CNCF und trägt nun die Auszeichnung für "CII Best Practices" (Core Infrastructure Initiative).

Quelloffene Policy-Engine

Der Open Policy Agent ist eine quelloffene Allzweck-Policy-Engine zum Programmieren, Provisionieren, Durchsetzen und Überwachen kontextbezogener Richtlinien im Sinne von einheitlicher Security und Compliance. Im Frühjahr 2018 hatte die Stiftung OPA in die Sandbox aufgenommen und im Folgejahr in den Inkubationszustand befördert. Zum Projekt haben rund 90 Entwickler aus etwa 30 Organisationen beigetragen, die Maintainer stammen aus vier Organisationen (Google, Microsoft, VMware und Styra).

Seit dem Beitritt zur CNCF haben die OPA-Entwickler die Policy-Engine durch ein Gatekeeper-Projekt stärker in Kubernetes integriert, aber auch mit Envoy, Helm und CoreCNS lässt es sich nun einsetzen und die Entwickler haben für zahlreiche Anwendungsfälle außerhalb von Kubernetes Unterstützung ersonnen. Besonders gefragt ist der Open Policy Agent offenbar für flexibles Autorisieren beim Konfigurationsprozess (wie zum Beispiel geregelter Zutritt in Kubernetes) und bei der API-Autorisierung, wie die CNCF mitteilt. Inzwischen verwenden zahlreiche große Unternehmen verschiedener Sparten OPA, so zum Beispiel SAP, Netflix, Atlassian und T-Mobile.

Joe Searcy, ein Mitarbeiter des Technikstabs für verteilte Systeme bei T-Mobile, bezeichnet in dem Blogeintrag OPA als "stromlinienförmige Policy-Sprache", die es dem Unternehmen erspart, Dutzende Zeilen Code für Richtlinien zu schreiben und stattdessen mit fünf, sechs Zeilen Code auszukommen. "Ich konnte buchstäblich über Nacht all unsere bestehenden Richtlinien hernehmen und in OPA überführen", berichet Searcy. Diese ließen sich auch einfacher aktualisieren und im gesamten Firmenbestand implementieren. Ähnliches Lob kommt von Atlassian, wo OPA in das bestehende Ökosystem integriert ist.

Interessierte können sich vertiefend auf der Website der Policy-Engine schlau machen.

(sih)